Gedecentraliseerde exchange-aggregator CoW Swap leed aan een grote hack, waarbij de aanvaller er met meer dan $ 180,000 aan geld vandoor ging, volgens beveiligingsbedrijven PeckShield en BlockSec.
Als aggregator voor gedecentraliseerde beurzen (DEX) is het doel van CoW Swap om gebruikers de beste prijzen te bieden op gedecentraliseerde beurzen. Een hacker richtte zich echter op zijn slimme contract voor handelsafwikkeling, GPv2Settlement, om fondsen af te voeren.
PeckShield schatte dat de aanvaller ongeveer $ 180,000 aan DAI uit CoW Swap had gehaald voordat het geld via Tornado Cash werd geleid om 551 BNB te verkrijgen. De aanval was gericht op de GPv2Settlement, een slim contract voor handelsafwikkeling dat deel uitmaakt van het CoW Swap alpha (GPv2)-protocol.
Het lijkt erop dat de aanvaller de eigenaar van het GPv2Settlement-contract heeft misleid om het gebruik van de SwapGuard goed te keuren, wat normaal gesproken niet is toegestaan.
Volgens PeckShield is SwapGuard een tweede contract dat door CoW Swap wordt gebruikt om swapresultaten te ondersteunen en te valideren. Deze goedkeuring kan hebben bijgedragen aan het succes van de aanval, aangezien SwapGuard willekeurige functieaanroepen toestaat. In de context van slimme contracten stellen willekeurige functieaanroepen iedereen met toegang tot het contract in staat om elke functie binnen de code uit te voeren.
Een woordvoerder van BlockSec vertelde The Block dat er een functie in het contract SwapGuard zit die geld kan overmaken naar elk adres. De aanvaller riep de publieke functie in om de DAI over te brengen naar hun adres.
Het CoW Swap-team zei dat het schikkingscontract dat werd uitgebuit alleen toegang heeft tot de vergoedingen die binnen een week door het protocol zijn geïnd en dat de hacker niet rechtstreeks toegang had tot gebruikersfondsen.
© 2023 The Block Crypto, Inc. Alle rechten voorbehouden. Dit artikel is uitsluitend bedoeld voor informatieve doeleinden. Het wordt niet aangeboden of bedoeld om te worden gebruikt als juridisch, fiscaal, investerings-, financieel of ander advies.
Bron: https://www.theblock.co/post/209187/dex-aggregator-cow-swap-falls-victim-to-180000-hack?utm_source=rss&utm_medium=rss